运营商IDC安全设计与实现

2011-08-15中国联通陕西省分公司

智能建筑与智慧城市 2011年9期

文｜中国联通陕西省分公司王东

1 IDC概述

IDC即是Internet Data Center，是基于Internet网络，为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC提供的主要业务包括主机托管（机位、机架、VIP机房出租）、资源出租（如虚拟主机业务、数据存储服务）、系统维护（系统配置、数据备份、故障排除服务）、管理服务（如带宽管理、流量分析、负载均衡、入侵检测、系统漏洞诊断），以及其他支撑、运行服务等。

随着中国互联网以超常的速度向前发展，企业用户对IDC的需求也日益增长。而随着电信运营商业务转型，各种数据业务也层出不穷，作为其主要业务平台IDC也受到越来越多的关注，而安全性则是焦点之一。

2 运营商IDC面临的安全威胁

运营商IDC面临三大安全攻击类型：

（1）面向应用层的攻击。常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等。应用攻击利用软件系统在设计上的缺陷，基于现有的业务端口进行传播。在传统运营商IDC以资源出租的业务模式中，此类攻击没有直接影响IDC的运营，其表现在IDC内部客户受攻击后，可能会导致其租用的带宽资源被攻击占用。在新一代IDC中，运营商自身增值业务系统也会受到该类攻击威胁。

（2）面向网络层的攻击。最典型就是拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）。常见的DDoS攻击方法有SYN Flood、Established Connection Flood 和Connection Per Second Flood。攻击者通过恶意抢占网络资源，使IDC无法正常运营。该类攻击是目前和今后运营商IDC最常见的攻击，也是运营商IDC安全防护的重点之一。

（3）对网络基础设施的攻击。该类攻击具有更大的破坏性和隐蔽性，通过非法侵入IDC网络、安全设备，或是从IDC内部发起面向网络、计算、存储资源的攻击。该类威胁对IDC的运营始终存在，针对此类攻击的防范不仅需要制定严格的安全运营管理体系，也需要更加细致的运用网络与安全相融合的技术。

3 IDC安全解决方案

3.1 IDC安全模型

正是由于IDC威胁多种多样，因此必须将IDC安全中各个层次的问题放到一个统一的模型下来考虑，否则可能面临系统性的安全管理问题，发生顾此失彼的现象。此模型将安全防护主要归结为两方面：前台业务网络保障业务存活，后台业务网络保障用户访问合法性。

此外，此模型还考虑了分区规划、分层部署的原则。根据业务类型和设备在IDC中存在不同价值和易受攻击程度的不同，制定不同的安全策略和信任模型，将IDC网络划分为不同区域，将应用服务器分解成可管理的、安全的层次，打破了将所有功能都驻留在单一服务器时所带来的安全隐患，增强了扩展性和高可用性。

3.2 前台网络安全部署

前台网络安全部署，主要由交换机安全策略部署、边界安全防火墙和异常流量清洗三部分组成。

交换机的安全策略部署，是指在IDC内部接汇聚核心交换网络，利用交换机和协议的安全功能特性，实现对攻击的防范。常见的技术手段有，基于物理或VLAN的端口隔离技术，STP Root/STP BPDU Guard，基于报文识别处理的端口安全技术（NTK，Intrusion Protection，Device Tracking），基于转发表项的绑定、检测、映射等防IP报文伪装技术和路由协议认证技术。

边界安全防火墙指在IDC内部针对不同业务或用户区域实现基础网络隔离，实现安全信任网络和非安全网络进行隔离，这种网络隔离技术不是简单的依靠网络接口来划分的、由于网络的实际拓扑是千差万别的，使用固定接口来进行网络隔离不能适应网络的实际要求，而基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，使得IDC内部的安全管理模型不会受到网络拓扑的影响。

运营商IDC通过防火墙提供四个安全区域：授信安全区域trust、非授信安全区域untrust、非军事化区域DMZ和本地逻辑安全区域local，其中本地逻辑安全区域可以定义到防火墙本身的报文，保证了防火墙本身的安全防护，使得对防火墙本身的安全保护得到加强。IDC防火墙还应支持扩展的自定义安全区域，支持运营商根据业务需求设定更多的安全区域，每个安全区域都可以加入独立的接口。

防火墙虚拟化技术和基于状态的包检查功能是IDC对边界防火墙的重点需求。虚拟防火墙技术是运营商IDC安全多业务运营的基础保证，基于状态包检查防火墙将状态检测技术应用在ACL技术上，通过对连接状态的检测，动态的发现应该打开的端口，保证在通信的过程中动态的决定哪些数据包可以通过防火墙。同时，状态防火墙还采用基于流的状态检测技术，可以根据流的信息决定数据包是否可以通过防火墙。利用流的状态信息决定对数据包的处理结果，加快了转发性能。

异常流量清洗系统在IDC网络中起到对DDoS攻击防范的作用。通常在运营商IDC的出口处部署异常流量清洗系统，该系统主要由异常流量检测平台、流量清洗平台和安全管理平台三部分组成。其工作过程分为四个步骤：

（1）异常流量检测平台发现异常流量，向业务管理软件平台进行告警。

（2）业务管理平台通知防御设备，开启攻击防御。

（3）防御系统对异常流量进行牵引，改变流量转发路径，对流量进行清洗，只有正常的流量被回注到服务器进行业务处理，异常流量被清洗掉。

（4）当攻击结束后，解除防御，流量恢复正常。

3.3 后台网络安全部署

后台网络安全部署主要由用户端点准入安全策略部署、入侵防御系统（IPS）两部分组成。

端点准入安全策略部署是指采用严格的用户认证和授权控制策略，对接入终端的安全性进行检查，避免病毒对IDC网络造成破坏，对不同的接入用户要做到动态的分配不同的权限，使之归属于不同的VPN，访问对应授权的资源，保证核心数据和业务的安全性和机密性。端点准入系统应由安全客户端、安全认证策略服务器、执行安全策略的网络设备以及联动安全平台构成，实现严格的身份认证，完备的安全状态评估，基于角色的网络授权，扩展开放的第三方安全融合能力和灵活方便的部署。

在IDC的互联网出口处和内部各安全区的网络汇聚层出口处部署IPS进行应用层防护，可采用旁挂方式或与网络设备一体化的融合式部署，保证IDC整体和各安全区域内部服务器免受外部应用层攻击。高性能的IPS解决方案应该关注如下三个方面：

（1）应用程序防护能力，可提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护。

（2）高精度、高效率的入侵检测引擎，入侵检测引擎的吞吐量和时延指标是衡量IPS性能的关键指标。

（3）全面、及时的攻击特征库，涵盖主流操作系统、网络设备、数据库系统、应用软件系统的全部漏洞特征和网络攻击特征，定时、及时更新特征库，并具有24小时应急响应机制保证，即兼容国际标准，又符合IDC实际部署地域安全特征的保护要求。

3.4 统一安全管理

运营商建设IDC统一安全管理平台是达到可运营标准的必然选择，统一安全平台旨在集中部署网络安全防护策略，简化对网络安全部件的管理，确保网络安全策略的统一；广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件，通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险，提高安全报警的信噪比；准确的、实时的评估当前的网络安全态势和风险，并根据预先制定的策略做出快速响应。其基本功能包括：

（1）安全策略集中部署。IDC网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面，对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IPS等不同层次的防御部件。统一安全管理平台提供了集成、统一、完整的安全防护策略配置功能，可以通过直观的网络、服务器、终端及用户拓扑图，查看和配置安全策略，同时可尽可能的集中收集各类安全事件报表。

（2）安全事件深度感知。IDC统一安全管理平台在全面采集安全事件的基础上，通过各种基于统计和规则的关联分析算法，结合安全事件产生的网络环境、资产重要程度、系统漏洞级别，对安全事件进行深度分析，可以有效提高安全事件的信噪比，减少告警日志数量而不丢失重要信息，输出运营支撑的报表，为安全事件审计和风险响应提供更准确的决策支持。

（3）安全威胁的协同响应。IDC统一安全管理平台在全面了解网络资源部署的条件下，可以根据攻击源的不同，智能选择控制点以更有效的防止攻击，比如，对于外部攻击选择在防火墙的ACL阻断、对内部攻击选择用户接入交换机的端口关闭、对于内部蠕虫爆发选择隔离攻击源。也可以针对不同的被攻击对象，区分响应方式，以提高整个网络的自防御能力，比如，对于用户终端可以强制进行补丁修复和病毒库升级，对于服务器资源可以动态更新安全配置。